Title: presentacin panorama seguridad espaa
1Tengo hambre y me dais caviar! Continuidad de
Negocio, Seguridad Corporativa y Gestión de
Incidentes
!
Samuel Linares / Ignacio Paredes Dirección de TI
y Seguridad de la Información Grupo Intermark
2Les presento al Sr. Ramos
El Sr. Ramos trabaja en una empresa de transportes
Nota Dibujos generados en http//toonlet.com
3Su trabajo, responsable de informática, consiste
en garantizar que los sistemas informáticos de la
empresa funcionen correctamente.
4Los ordenadores
Y los teléfonos móviles
Y la Internet
Y el fax
Y los ratones
Y las impresoras
Y el ordenador del hijo del jefe
5Al principio, la empresa tenía un solo ordenador
con todas las aplicaciones que necesitaban
Pero poco a poco, empezaron a llegar más equipos
6El jefe pierde el portátil cada tres meses
Actualizaciones
Spam
Virus
Copias de Seguridad
Averías
Y llegaron los problemas
El Sr. Ramos no puede más
7Así que le buscan ayuda
El sobrino del jefe
(que sabe mucho de informática)
8Con mucho trabajo, consiguen que, día a día, todo
siga funcionando
Más o menos
9El Sr. Ramos está preocupado
Sabe que antes o después pasará algo
Y se lo cuenta a su jefe
10Y el jefe dice que el Sr. Ramos exagera
Que no es para tanto
Que hay cosas más urgentes
Y entonces sucede lo inevitable
11El jefe del Sr. Ramos sufre un incidente de
seguridad
En mitad de una importante gestión
12Y el jefe dice que hay que hacer algo
Que no pueden seguir así
Que no puede volver a suceder
Y entonces sucede lo inevitable
13Punctûre
Contratan una Consultoría
14BS 25999 Lead Auditor
(acaba de realizar, con gran éxito, una
consultoría de seguridad para una entidad
financiera estadounidense)
Socio Director de una afamada empresa consultora
Y con gran experiencia en auditoría y consultoría
Certificado en diferentes metodologías
Y llega el Sr. Gómez-Cebolla
15El Sr. Ramos y el Sr. Gomez-Cebolla comienzan a
trabajar juntos
16 Durante el Proyecto
17 Al Finalizar el Proyecto
- La consultoría es un éxito.
- El nivel de riesgo es inaceptable en una empresa
con esta visibilidad. - Con una inversión razonable pueden alcanzar un
nivel de madurez adecuado en dos años. - Existe potencial humano para una capacitación de
nivel avanzado
18 Al Finalizar el Proyecto
- Seguimos igual
- (pero con menos dinero)
- Que estábamos mal, ya lo sabía yo.
- Dos años?
- No creo que aguantemos ni dos meses
- Potencial humano?
19?
Cómo hemos llegado a esta situación?
20Metodologías
PyMes
Existe una grieta entre la Teoría y la Práctica
21(No Transcript)
22Antecedentes
- PYMES más del 99 de las empresas en la Unión
Europea - Nivel de madurez en seguridad muy pocas nivel
alto, la gran mayoría MUY BAJO - Ausencia de estructura organizativa,
conocimiento, recursos, etc. Multiplicidad de
Tareas - Resultados a Corto Plazo queremos seguridad y
la queremos ahora - Enfoque Práctico y directo
- Aproximación tradicional SGSI no muy bien
aceptada habitualmente - Poco concienciamiento y apoyo de la dirección
23Problemas PYME. Acercamiento metodológico
tradicional
- Inversiones No Enfocadas
- Alcances Globales para Problemas Parciales
- Soluciones Parciales para Problemas Globales
- Resultados a Largo Plazo
- Coste Elevado
24Y ahora, me gustaría hablar de mi libro
25IS2ME
26IS2MEInformation Security to Medium
EnterpriseSeguridad de la Información a la
Mediana Empresahttp//www.is2me.org/
- Metodología Libre para Implantación de Seguridad
en Medianas Empresas (hasta 1000 empleados
aprox.) y en Empresas con Nivel de Madurez Bajo
en Seguridad - Muy buena acogida en el sector
- más de 6000 descargas de la publicación en
Español - Publicación en (IN)SECURE Magazine y referencias
en otros medios especializados - Metodología Original autores Samuel Linares /
Nacho Paredes
27IS2ME Objetivos
- Disminución del Riesgo e Implantación de la
Seguridad - Incorporación de la Seguridad a la Cultura
Organizacional - Establecimiento de un Marco de Implantación de la
Seguridad - Estado Actual de la Organización
- Plan de Acción (Plan de Seguridad)
- Medidas Técnicas y Organizativas
28Tras la Implantación de IS2ME
- Disminución del Nivel de Riesgo Asumido
- Incrementado el Nivel de Madurez en Seguridad
- Incorporación Seguridad como un Requisito más del
Negocio - Organización Preparada para Abordar
Implementación / Certificación ISO 27001
29BS 25999 Lead Auditor
slinares_at_grupointermark.com http//blog.infosecman
.com/
iparedes_at_grupointermark.com http//www.linkedin.c
om/in/ignacioparedes
Muchas gracias
30Fin de la presentación
Muchas gracias (de nuevo)